4/5/2018 publicat per: Softeng

Detección y protección contra amenazas avanzadas de Azure

L'augment de la consciència de les empreses sobre la perspectiva actual de les ciberamenaces ha suposat també el desenvolupament de la creativitat dels atacants i fins a l'usuari més previsor i astut pot ser víctima d'ells.

En antecedents ... sabies què?

  • 286 dies es triga a detectar una intrusió.
  • Més del 63% de les intrusions de xarxa es deuen a credencials compromeses.
  • 3,8m de dòlars és el cost mitjà d'una bretxa en la seguretat de les dades per a una companyia.

Encara que tinguem protegida la identitat dels nostres usuaris i dades allotjats en el núvol, les possibles vulnerabilitats en VPN 's i infraestrutura de servidors (especialment els controladors de domini - amb el seu directori actiu local), al costat de que els usuaris cometin errors (per exemple caure en un atac de phishing o reutilitzar contrasenyes en llocs web insegurs), proporcionen vies alternatives perquè els ciberdelinqüents puguin entrar fins a la "cuina".

Els atacants, en aquests casos, es mouen ràpid .. i un cop obtenen les credencials de qualsevol usuari, aconsegueixen assignar privilegis d'administrador (amb l'ajuda d'arxius de log, dades residents en memòria, arxius no encriptades i altres mecanismes), i ... ja els tenim dins, sense poder fer res (per un temps superior a 140 dies de mitjana fins a ser descoberts). És més, pel fet que moltes empreses encara tenen dades en la seva infraestructura local, desafortunadament, quan es tracta d'atacs on-premissa, "la barrera de xarxa" que habitualment tenen les empreses per mantenir-se teòricament fora de perill, evita en realitat que la intel·ligència basa en el núvol d'altres productes Microsoft (com AAD Identity Protection, Accés Condicional de Azure AD i Cloud App Security) puguin ajudar-les a mantenir assegurances les dades allotjats físicament en la seva organització.

La solució: Azure Advanced Threat Protection

Detección y protección contra amenazas avanzadas de Azure

Azure Advanced Threat Protection (des d'ara Azure ATP) està dissenyat per ajudar les empreses a detectar i analitzar atacs avançats en infraestructura local o híbrida.

Aquesta tecnologia permet entendre de forma ràpida i senzilla què passa a la seva xarxa, identificant ràpidament activitats sospitoses i proporcionant informació clara sobre les amenaces.

En línies generals amb Azure ATP pots:

  • Detectar activitat sospitosa d'usuaris i dispositius a través d'anàlisis basat en l'aprenentatge automàtic i la intel·ligència d'amenaces de Microsoft.
  • Protegir la teva Directori Actiu (i per tant als teus usuaris), a través de l'anàlisi continu dels protocols d'autenticació.
  • Obtenir informació clara i en temps real de l'escala de temps dels atacs per respondre amb rapidesa.
  • Monitoritzar múltiples punts d'entrada a través de la integració amb Windows Defensar ATP.

Com treballa?

Azure ATP actua seguint 4 passos:

1-Anàlisi
Analitza la informació recollida de diversos orígens de dades, com registres, esdeveniments de la xarxa, protocol d'autenticació de Directori Actiu i tràfic dels controladors de domini.

2-Aprenentatge
Un cop analitzada la xarxa, Azure ATP comença a aprendre i generar perfils dels comportaments d'usuaris, dispositius i recursos utilitzant la tecnologia d'autoaprenentatge (Machine learning) de Microsoft.

Detección y protección contra amenazas avanzadas de Azure

                            Fitxa de perfil d'usuari generada

3-Detecció
Gràcies a la tecnologia d'autoaprenentatge i la intel·ligència d'amenaces de Microsoft Intelligent Security Graph (tecnologia que analitza milers de milions de dades de centres globals de la companyia per accedir a informació actualitzada sobre tendències d'atacs) Azure ATP és capaç de detectar 3 grups de atacs o amenaces:

Detección y protección contra amenazas avanzadas de Azure 1- Atacs malintencionats
Detecta tècniques malicioses conegudes com:

  • Pass-the-Ticket
  • Pass-the-Hash
  • Overpass-the-Hash
  • I moltes més orientades al robatori de credencials.          

                                                                                                                                                      

Detección y protección contra amenazas avanzadas de Azure

2- Comportament anormal
L'aprenentatge automàtic revela activitats sospitoses i comportaments irregulars com:

  • Inicis de sessió anòmals
  • amenaces desconegudes
  • Ús compartit de contrasenya

Detección y protección contra amenazas avanzadas de Azure

3- Problemes i riscos relacionats amb la seguretat
Gràcies a la intel·ligència d'amenaces integrada de Microsoft és capaç d'identificar problemes de seguretat coneguts:

  • protocols febles
  • Vulnerabilitats de protocol conegudes
  • Ruta de desplaçament lateral a comptes confidencials (es produeix quan es compromet un compte d'un usuari no confidencial per accedir a comptes amb majors privilegis, per exemple, el compte administrador)

Detección y protección contra amenazas avanzadas de Azure

                                                                                                                           Vista del portal d'Azure ATP que mostra rutes de desplaçaments laterals

A través d'aquesta vista, Azure ATP mostra els comptes confidencials de la xarxa que són vulnerables a causa de la seva connexió amb comptes no confidencials o recursos.

4-Alerta
Després de la detecció, alerta i presenta la informació al portal de l'àrea de treball d'ATP d'Azure, inclosa una vista clara de qui, què, quan i com, recomanant a més accions per a la remediació.

Sovint les eines de seguretat de TI tradicionals no estan preparades per controlar quantitats de dades cada vegada més grans i emeten alertes innecessàries que distreuen de les amenaces reals. Amb Azure ATP, les alertes es produeixen una vegada que l'activitat sospitosa és contrastada amb els perfils de comportament en context, reduint d'aquesta manera els falsos positius.

Detección y protección contra amenazas avanzadas de Azure

En aquesta imatge es mostra l'alerta que notifica la sospita que es va intentar accedir des d'un servidor no reconegut o admès per la xarxa de l'empresa.

Detección y protección contra amenazas avanzadas de Azure

En aquesta imatge es mostra el panell d'avís de Azure ATP en el qual es notifica la sospita que es va intentar perpetrar un atac anomenat "Pass-the-tiquet" (Robatori d'identitat) en els equips client 1 i 2 de la xarxa.

Integració amb Windows Defensar ATP
Azure ATP s'integra amb Windows defensar ATP per obtenir una solució contra amenaces molt més completa. Mentre que ATP de Azure supervisa el trànsit en els controladors de domini, ATP de Windows Defensar supervisa els punts de connexió (els dispositius reals que s'utilitzen) recopilant informació sobre senyals de comportament del sistema operatiu.

Seguretat per atacs i amenaces avançades de Microsoft
Microsoft compta amb una gran quantitat de serveis i productes que protegeixen les empreses. No obstant, en aquest cas volem destacar dos dels productes que protegeixen les organitzacions de les amenaces i atacs més avançats i formen part de la família ATP:
  • Office 365 ATP o Advanced Threat Protection: Funciona per protegir el seu correu electrònic, arxius i aplicacions de l'Office 365 contra possibles atacs. Funciona assegurant la teva safata d'entrada contra amenaces avançades, protegint contra arxius adjunts no segurs i protegint el teu entorn quan un usuari fa clic a un enllaç maliciós. Més informació ...
  • Protecció avançada contra amenaces de Windows Defensar o Windows Defensar ATP: Generalment es combina amb Azure ATP per detectar i prevenir tota activitat maliciosa. No obstant això, la seva atenció se centra en la detecció i protecció dels punts finals: els dispositius reals que s'utilitzen en les empreses. Més informació ...

Pots adquirir Azure ATP dins de la suite Enterprise Mobility + Security 5 (EMS E5), amb Microsoft 365 E5 o com a producte independent.

Vols saber més? Contacta amb nosaltres per descobrir com protegir la teva empresa!


Sí, vull saber més

 

 

<< tornar al bloc
FacebookTwitterLinkedInWhatsapp
Enviant...

Vols rebre els articles al teu correu?


Suscripciones al Blog Rss del Bloc